Krytyczna luka w diodach danych Waterfall. RCE bez uwierzytelnienia

Jedna luka w oprogramowaniu diody danych otrzymała ocenę 9.8 w dziesięciostopniowej skali CVSS (Common Vulnerability Scoring System — skala 0-10 oceniająca powagę luki). Podatność oznaczona jako CVE-2025-41274 pozwala na całkowite przejęcie urządzenia, które z założenia ma stanowić jednokierunkową, fizyczną barierę dla danych w sieciach przemysłowych. Zdalne wykonanie kodu na tego typu sprzęcie podważa jego fundamentalne założenia bezpieczeństwa.

Urządzenia typu dioda danych (data diode) są kluczowym elementem architektur bezpieczeństwa w sektorach infrastruktury krytycznej. Ich zadaniem jest wymuszenie fizycznie jednokierunkowego przepływu informacji, na przykład z sieci produkcyjnej (OT) do sieci korporacyjnej (IT), bez możliwości przesłania jakichkolwiek danych w drugą stronę. Odkryta podatność może pozwolić obejść to zabezpieczenie na poziomie oprogramowania, otwierając drogę do głębszej penetracji chronionych segmentów sieci.

TL;DR

• Produkt: Diody danych Waterfall WF-500 TX i RX Hosts.
• Wersja podatna: 7.9.1.0 R2502171040 ¹.
• Wektor: OS Command Injection w webowym interfejsie zarządzania (Console WebUI) ^{2 3}.
• Identyfikator: CVE-2025-41274, ocena CVSS 9.8 (Krytyczna).
• Wpływ: Zdalne wykonanie kodu (RCE) bez uwierzytelnienia ⁴.
• Kogo dotyczy: Operatorzy infrastruktury przemysłowej (OT/ICS) i podmiotów kluczowych, którzy wykorzystują podatne wersje urządzeń Waterfall.
• Pierwszy ruch: Natychmiastowa identyfikacja urządzeń w sieci i ograniczenie dostępu do ich interfejsu zarządzania do absolutnego minimum.

Wektor ataku

Analiza wskazuje na klasyczną lukę typu OS Command Injection ². Jest to słabość sklasyfikowana w bazie CWE (Common Weakness Enumeration) pod numerem CWE-78. Występuje, gdy aplikacja przekazuje do powłoki systemowej dane kontrolowane przez użytkownika bez odpowiedniej walidacji i neutralizacji znaków specjalnych, takich jak średnik, potok (|) czy ampersand (&).

Podatność zlokalizowano w komponencie Console WebUI, czyli webowym panelu administracyjnym urządzeń Waterfall WF-500 TX i RX Hosts ³. Atakujący, który ma dostęp sieciowy do tego interfejsu, nie potrzebuje żadnych danych uwierzytelniających. Może on przesłać spreparowane żądanie HTTP, które zawiera dodatkowe polecenia systemowe. Te polecenia zostaną wykonane na docelowym urządzeniu z uprawnieniami procesu serwera WWW.

Skutkiem jest RCE (Remote Code Execution — zdalne wykonanie kodu na komputerze ofiary) ⁴. W kontekście diody danych, która ma chronić sieć OT, oznacza to katastrofalną porażkę mechanizmu separacji. Atakujący może użyć przejętego urządzenia jako przyczółka (punktu zaczepienia) do dalszych działań wewnątrz chronionego segmentu sieci, potencjalnie zakłócając procesy przemysłowe.

Wskaźniki kompromitacji

Na ten moment nie są znane publiczne wskaźniki kompromitacji (IoC – Indicators of Compromise) powiązane z aktywnym wykorzystaniem tej luki. Zagrożenie ma charakter prewencyjny i dotyczy podatności w oprogramowaniu, a nie trwającej kampanii.

Zespoły SOC (Security Operations Center – zespół monitoringu bezpieczeństwa) powinny jednak proaktywnie przeszukiwać logi serwerów WWW na urządzeniach Waterfall pod kątem nietypowych żądań. Należy zwracać uwagę na obecność znaków specjalnych i poleceń systemowych (np. ls, whoami, nc, bash) w parametrach zapytań kierowanych do Console WebUI.

Co zrobić w 24-48h

Zalecane podejście zakłada działanie natychmiastowe, nawet przy braku publicznych dowodów na wykorzystanie luki. Skala potencjalnych szkód w środowiskach OT jest zbyt wysoka, aby czekać.

1. Identyfikacja zasobów. Pierwszym krokiem jest stworzenie listy wszystkich urządzeń Waterfall WF-500 w infrastrukturze oraz weryfikacja ich wersji oprogramowania. Należy potwierdzić, czy w użyciu jest podatna wersja 7.9.1.0 R2502171040 ¹.

2. Ograniczenie dostępu. Należy natychmiast ograniczyć dostęp sieciowy do interfejsu Console WebUI. Dostęp powinien być możliwy wyłącznie z zaufanych, wydzielonych stacji administracyjnych. Jeśli to możliwe, interfejs zarządzania powinien być całkowicie odseparowany od sieci produkcyjnej i korporacyjnej.

3. Monitorowanie i aktualizacja. Należy aktywnie monitorować komunikaty bezpieczeństwa od producenta, firmy Waterfall Security. Gdy tylko aktualizacja oprogramowania zostanie wydana, należy ją wdrożyć zgodnie z wewnętrzną polityką zarządzania zmianą.

4. Kontekst polski (NIS2). Polskie podmioty objęte dyrektywą NIS2 (unijna dyrektywa o bezpieczeństwie sieci, obowiązująca od 2024) powinny traktować tego typu podatności priorytetowo. Luka w krytycznym komponencie separującym sieci wpisuje się bezpośrednio w analizę ryzyka wymaganą przez nowe przepisy. Incydent związany z jej wykorzystaniem może podlegać obowiązkowi zgłoszenia do krajowego CSIRT, czyli CERT Polska.

Powyższe kroki mogą pomóc w ograniczeniu ryzyka, ale nie zastępują pełnej konsultacji bezpieczeństwa i wdrożenia rekomendacji producenta.

Atrybucja

Luka została zidentyfikowana i zgłoszona zgodnie z zasadami odpowiedzialnego ujawniania (responsible disclosure) przez zespół badawczy Nozomi Networks Labs ².

Źródła

Zobacz też

• CVE-2026-0611: Krytyczna luka RCE w oprogramowaniu medycznym Sentinel
• CVE-2026-45505: Krytyczna luka RCE w Apache ActiveMQ
• Krytyczna luka RCE w Azure Orbital Spatio (CVE-2026-40412)

Footnotes

1. Dotyczy to wersji 7.9.1.0 R2502171040 oprogramowania Waterfall WF-500 TX i RX Hosts. — https://nvd.nist.gov/vuln/detail/CVE-2025-41274 ↩ ↩²

2. Nozomi Networks Labs zidentyfikowało lukę CWE-78: Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’). — https://nvd.nist.gov/vuln/detail/CVE-2025-41274 ↩ ↩² ↩³

3. Luka znajduje się w Console WebUI w Waterfall WF-500 TX i RX Hosts. — https://nvd.nist.gov/vuln/detail/CVE-2025-41274 ↩ ↩²

4. Luka umożliwia zdalnym, nieautoryzowanym atakującym wykonanie dowolnych poleceń systemu operacyjnego na urządzeniu. — https://nvd.nist.gov/vuln/detail/CVE-2025-41274 ↩ ↩²