Krytyczna luka w bramkach Modbus 3onedata

TL;DR

Bramki Modbus 3onedata model GW1101-1D(RS-485)-TB-P ¹ zawierają podatność OS Command Injection (CWE-78) ², którą mogą wykorzystać uwierzytelnieni użytkownicy do wykonania dowolnych poleceń powłoki w kontekście root ³. Ładunek wstrzykiwany jest poprzez pole IP address w narzędziach diagnostycznych ⁴. Zagrożone są wszystkie wersje firmware’u poniżej 3.0.59B2024080600R4353 ⁵. Aktualizacja jest obowiązkowa dla każdej instalacji tego urządzenia w sieci produkcyjnej.

Jeśli masz bramkę 3onedata GW1101-1D w sieci — sprawdź wersję firmware’u dzisiaj. Wersja starsza niż 3.0.59B2024080600R4353 wymaga aktualizacji w tym tygodniu.

Wektor ataku

Podatność ² to OS Command Injection (CWE-78 — brak walidacji danych wejściowych w poleceniach systemowych). W tym przypadku podatna jest funkcja diagnostyczna bramki.

Atak wymaga dostępu uwierzytelnionego ³ — atakujący musi posiadać ważne poświadczenia do interfejsu zarządzania. Ładunek umieszczany jest w polu IP address narzędzi diagnostycznych ⁴. Bramka nie neutralizuje znaków specjalnych (;, |, &&, backtick), co pozwala na wstrzyknięcie dodatkowych poleceń powłoki.

Przykład wektora (poglądowy):

IP address: 192.168.1.1; id; whoami

Zamiast walidacji adresu IP bramka wykonuje całą linię jako polecenie systemowe w kontekście użytkownika root. Atakujący uzyskuje pełną kontrolę nad urządzeniem — może modyfikować konfigurację, instalować backdoory lub wykorzystać bramkę jako punkt wejścia do sieci przemysłowej.

Kto jest zagrożony

Bramki Modbus 3onedata GW1101-1D(RS-485)-TB-P ¹ to urządzenia konwersji protokołów, popularne w:

• Systemach automatyki przemysłowej (SCADA, PLC)
• Sieciach IoT w fabrykach i infrastrukturze krytycznej
• Instalacjach energetycznych i wodociągowych
• Polskich zakładach produkcyjnych i przedsiębiorstwach infrastrukturalnych

Zagrożeni są operatorzy, administratorzy sieci i pracownicy IT mający dostęp do interfejsu zarządzania. Jeśli poświadczenia są słabe, współdzielone lub wyciekły — ryzyko znacznie wzrasta.

Wskaźniki kompromitacji

Znaki, że bramka mogła być zaatakowana:

— Nieoczekiwane polecenia w logach diagnostycznych
— Zmiana konfiguracji IP lub tras sieciowych
— Nowe procesy w systemie (sprawdzić: ps aux)
— Modyfikacja plików konfiguracyjnych (/etc/config, /etc/passwd)
— Nieznane połączenia wychodzące z bramki (netstat -an)
— Zmiana hasła administratora bez autoryzacji

Jeśli masz dostęp do SSH bramki (port 22, jeśli włączony), sprawdź:

firmware --version
# Powinna być >= 3.0.59B2024080600R4353

Co zrobić w 24-48h

Priorytet 1: Identyfikacja (dzisiaj)

1. Spis urządzeń: Sprawdź, czy w Twojej sieci są bramki 3onedata GW1101-1D(RS-485)-TB-P ¹. Szukaj w:

   • Dokumentacji sieci przemysłowej
   • Rejestrach sprzętu (asset management)
   • Skanach nmap/Shodan (jeśli urządzenie jest dostępne z internetu — to osobny alarm)

2. Weryfikacja wersji firmware’u: Zaloguj się do interfejsu zarządzania każdej bramki i sprawdź jej wersję. Powinna być wyświetlona w sekcji „System Manage” → „System Information” interfejsu webowego (TELNET, WEB i SSH są obsługiwanymi trybami dostępu).

   • Jeśli wersja < 3.0.59B2024080600R4353 ⁵ — urządzenie jest podatne.

3. Ocena dostępu: Sprawdź, kto dysponuje dostępem do interfejsu zarządzania:

   • Czy poświadczenia są domyślne (admin/admin)?
   • Czy hasło jest słabe?
   • Czy dostęp jest ograniczony do sieci wewnętrznej, czy dostępny z internetu?

Priorytet 2: Mitygacja (48-72h)

1. Tymczasowe ograniczenie dostępu:

   • Ogranicz dostęp do interfejsu zarządzania bramki do konkretnych adresów IP (firewall, listy kontroli dostępu)
   • Wyłącz dostęp z internetu (jeśli taki istnieje)
   • Zmień hasło administratora na silne (minimum 16 znaków, mieszanka znaków)

2. Monitoring: Włącz logowanie zdarzeń na bramce (jeśli dostępne) i obserwuj logi pod kątem podejrzanych poleceń.

3. Planowanie aktualizacji: Skontaktuj się z dostawcą lub integratorem, aby uzyskać firmware w wersji 3.0.59B2024080600R4353 lub nowszej ⁵.

Priorytet 3: Aktualizacja (ten tydzień)

1. Test w środowisku nieprodukcyjnym: Jeśli to możliwe, przetestuj aktualizację na identycznym urządzeniu w laboratorium.

2. Zaplanuj okno serwisowe: Aktualizacja firmware’u zwykle wymaga restartu urządzenia. Zaplanuj to w godzinach, gdy bramka nie obsługuje procesów krytycznych.

3. Backup konfiguracji: Przed aktualizacją wykonaj kopię zapasową bieżącej konfiguracji (jeśli bramka to umożliwia).

4. Aktualizacja: Postępuj zgodnie z instrukcją producenta. Zwykle proces wygląda następująco:

   • Pobranie firmware’u z serwera 3onedata
   • Zalogowanie do interfejsu zarządzania
   • Przesłanie pliku firmware’u
   • Restart urządzenia
   • Weryfikacja nowej wersji

Kontekst dla polskich firm

Podatność ⁶ została opublikowana 04 maja 2026 przez CERT Polska ⁷, który koordynował proces ujawniania informacji. Polska instytucja odpowiadająca za bezpieczeństwo sieci ma pełną wiedzę o luce i może wspierać polskie organizacje w jej naprawie.

Dla polskich operatorów infrastruktury krytycznej (energetyka, woda, telekomunikacja) — ta luka może być priorytetem regulacyjnym. Jeśli Twoja organizacja podlega ustawie o ochronie infrastruktury krytycznej lub NIS2 (Dyrektywa o bezpieczeństwie sieci i informacji), aktualizacja firmware’u może być wymogiem zgodności.

Polskie firmy MŚP korzystające z bramek 3onedata w systemach automatyki powinny skontaktować się z integratorem lub dostawcą, aby otrzymać wsparcie w aktualizacji.

Źródła

Zobacz też

• Krytyczna luka RCE w routerze Totolink A8000RU (CVE-2026-9454)
• CVE-2025-10910: Zdalne przejęcie kontroli nad urządzeniami Govee
• Weryfikacja wieku online: analiza metod obejścia i ukrytych celów

Footnotes

1. Podatność CVE-2025-13605 dotyczy bramek Modbus 3onedata model GW1101-1D(RS-485)-TB-P — https://cert.pl/posts/2026/05/CVE-2025-13605/ ↩ ↩² ↩³

2. Typ podatności to OS Command Injection (CWE-78) — https://cert.pl/posts/2026/05/CVE-2025-13605/ ↩ ↩²

3. Podatność pozwala uwierzytelnionym użytkownikom na wykonanie dowolnych poleceń powłoki w kontekście użytkownika root — https://cert.pl/posts/2026/05/CVE-2025-13605/ ↩ ↩²

4. Payload umieszczany jest w polu ‘IP address’ w narzędziach diagnostycznych — https://cert.pl/posts/2026/05/CVE-2025-13605/ ↩ ↩²

5. Podatne są wszystkie wersje oprogramowania układowego poniżej 3.0.59B2024080600R4353 — https://cert.pl/posts/2026/05/CVE-2025-13605/ ↩ ↩² ↩³

6. Podatność została opublikowana 04 maja 2026 — https://cert.pl/posts/2026/05/CVE-2025-13605/ ↩

7. CERT Polska koordynował proces ujawniania informacji o podatności — https://cert.pl/posts/2026/05/CVE-2025-13605/ ↩