Критические уязвимости в SmartServer IoT от EnOcean Edge угрожают промышленным системам

Мадрид, Испания – 20 февраля 2026 г. – Национальный институт кибербезопасности Испании (INCIBE) выпустил срочное предупреждение о нескольких уязвимостях высокой степени критичности в SmartServer IoT от компании EnOcean Edge Inc., широко используемом пограничном сервере для промышленных IoT-систем (IIoT). Уязвимости, зарегистрированные под идентификаторами CVE-2026-23456–CVE-2026-23460, могут позволить злоумышленникам выполнять удалённый код, нарушать работу систем или получать несанкционированный доступ к критически важной инфраструктуре.

Технические детали

Уязвимости затрагивают версии SmartServer IoT до 4.5.2, среди которых выявлены следующие критические проблемы:

• CVE-2026-23456 (CVSS 9.8): Удалённое выполнение кода (RCE) без аутентификации через специально сформированные HTTP-запросы к веб-интерфейсу. Эксплуатирует переполнение буфера в компоненте webserver, что позволяет полностью скомпрометировать систему.
• CVE-2026-23457 (CVSS 8.6): Отказ в обслуживании (DoS) через искажённые MQTT-пакеты, приводящий к сбою службы mqtt-broker и нарушению связи с IoT-устройствами.
• CVE-2026-23458 (CVSS 7.5): Недостаточная аутентификация в REST API, позволяющая злоумышленникам обходить проверку подлинности и получать доступ к конфиденциальным конфигурациям устройств.
• CVE-2026-23459 (CVSS 7.2): Сохранённая межсайтовая скриптовая атака (XSS) в панели администратора, позволяющая перехватывать сессии через вредоносные полезные нагрузки.
• CVE-2026-23460 (CVSS 6.5): Раскрытие информации из-за жёстко закодированных учётных данных в прошивке, что приводит к утечке паролей администратора в открытом виде.

Уязвимости были обнаружены INCIBE-CERT в ходе плановой проверки безопасности и сообщены компании EnOcean Edge, которая выпустила исправление в версии SmartServer IoT 4.5.2.

Анализ последствий

SmartServer IoT активно применяется в умных зданиях, системах промышленной автоматизации и управления энергопотреблением, часто интегрируясь с протоколами BACnet, Modbus и LonWorks. Эксплуатация уязвимостей может привести к:

• Нарушению работы критически важной инфраструктуры (например, систем HVAC, освещения или контроля доступа).
• Латеральному перемещению в корпоративные сети через скомпрометированные IoT-устройства.
• Утечке данных промышленной телеметрии или учётных данных пользователей.
• Угрозам физической безопасности, если злоумышленники манипулируют подключёнными системами (например, отключают пожарные сигнализации или камеры видеонаблюдения).

INCIBE предупреждает, что эксплойты для доказательства концепции (PoC) для уязвимостей CVE-2026-23456 и CVE-2026-23457 уже распространяются в андеграундных форумах, что повышает срочность установки исправлений.

Рекомендации

Командам кибербезопасности и операторам промышленных систем рекомендуется:

1. Немедленно обновить систему до версии SmartServer IoT 4.5.2 или новее, доступной на портале поддержки EnOcean Edge.
2. Изолировать устройства SmartServer IoT от корпоративных сетей до установки исправлений, используя VLAN или межсетевые экраны.
3. Мониторить сетевой трафик на предмет аномальных MQTT/HTTP-запросов или несанкционированного доступа к API.
4. Сменить все стандартные учётные данные и внедрить многофакторную аутентификацию (MFA) для административных интерфейсов.
5. Провести аудит подключённых IoT-устройств на признаки компрометации, особенно использующих протоколы BACnet или Modbus.

Для получения дополнительных рекомендаций обратитесь к предупреждению INCIBE (INCIBE-CERT-2026-0045) или оповещению CISA по промышленным системам управления (ICS-ALERT-2026-0220).

---

Данное предупреждение выпущено в рамках процесса скоординированного раскрытия уязвимостей INCIBE. Компания EnOcean Edge подтвердила наличие уязвимостей и сотрудничала в их устранении.